认证机构的权利和义务

二、认证机构的权利和义务

(一)认证机构的权利

认证机构，又称认证服务机构，是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构。一般来说，享有以下权利:

(1)信息的调查核实。认证机构有权对电子签名人在申请电子认证证书时作出的陈述进行调查核实。

(2)认证证书的核查。认证机构有权对证书进行核查，以确保认证证书的真实性。

(3)收取费用的权利。根据电子认证合同，认证机构有权向电子签名人收取约定的服务费。

(二)认证机构的义务

根据我国法律的规定，认证机构有以下主要义务:

(1)告知义务。我国《电子认证服务管理办法》第21条规定，电子认证服务机构在受理电子签名认证证书申请前，应当向申请人告知下列事项:①电子签名认证证书和电子签名的使用条件;②服务收费的项目和标准;③保存和使用证书持有人信息的权限和责任;④电子认证服务机构的责任范围;⑤证书持有人的责任范围;⑥其他需要事先告知的事项。

(2)签订合同义务。我国《电子认证服务管理办法》第22条规定，电子认证服务机构受理电子签名认证申请后，应当与证书申请人签订合同，明确双方的权利义务。

(3)保证认证证书内容的完整、准确的义务。我国《电子认证服务管理办法》第18条规定，电子认证服务机构应当履行保证电子签名认证证书内容在有效期内完整、准确。

(4)按规则提供服务的义务。我国《电子认证服务管理办法》第16条规定，电子认证服务机构应当按照公布的电子认证业务规则提供电子认证服务。根据我国《电子认证服务管理办法》第17条的规定，电子认证服务机构提供的服务内容为:①制作、签发、管理电子签名认证证书;②确认签发的电子签名认证证书的真实性;③提供电子签名认证证书目录信息查询服务;④提供电子签名认证证书状态信息查询服务。

(5)及时为信赖方服务的义务。我国《电子认证服务管理办法》第18条规定，电子认证服务机构应当履行保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。

(6)信息保密义务。在认证活动中，必然会涉及电子签名人和信赖方的商业秘密、个人信息和其他商业性质的信息，有时还会涉及国家秘密。我国《电子认证服务管理办法》第20条规定，电子认证服务机构应当遵守国家的保密规定，建立完善的保密制度。电子认证服务机构对电子签名人和电子签名依赖方的资料，负有保密的义务。

(7)信息保存义务。我国《电子认证服务管理办法》第18条规定，电子认证服务机构应当履行妥善保存与电子认证服务相关的信息。电子签名认证机构有义务保存与电子签名和认证直接相关的信息。这主要是因为，当电子签名人和信赖方发生纠纷乃至诉讼之时，需要认证机构作为中立的第三方提供证据。

(8)公开信息的义务。我国《电子认证服务管理办法》第18条规定，取得认证资格的电子认证服务提供者，应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。

(9)安全保障义务。我国《电子签名法》第19条规定，电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。认证机构的安全保障义务，主要包括对电子签名的技术、方法、设施的提供和对电子认证证书的管理，以及对信息的核查等多方面的因素。技术的选择是其中至关重要的环节。在技术上的选择方面，笔者主张以商业合理性为标准。认证机构提供的技术是否安全，判断认证机构有无过错，应该以商业合理性为标准，即认证机构是否采用了行业应该采用的技术标准，在特殊的要求项目，有无采取约定的或者理应采取的技术。商业合理性标准既可以避免认证机构一味追求更高的技术，而采取这些技术的成本超出了认证机构的负担能力;又可以使认证机构在面对安全事故而追究责任时，能够合理免责。

【注释】

[1]美国犹他州于1995年颁布《数字签名法》(Utah Digital Signature Act)是美国乃至全球范围的第一部电子签名法，但是该法采取了技术特定的方案，只承认数字签名(Digital Signature)的法律效力。

[2]欧盟法优先于成员国的国内法，成员国的法律必须与欧盟法保持一致。“指令”属于欧盟机关所制定的各种自主性法规。欧盟制定的自主性法规主要有如下两类:条例(règlement)是理事会和委员会的立法，具有普遍的适用性、全面约束力和直接的适用性;决定(décision)对于特定的发布对象具有完全法律约束力，如自然人、法人或成员国。

[3]这并不是一个立法技术问题，而是一个立法过程导致的问题。最初上报的是制定电子签名法的立法计划，而互联网的发展让人猝不及防，电子合同等问题一齐涌来，而改动立法计划，需要重新走一个冗长的启动立法的程序。面对这个局面，便把电子合同纳入了《电子签名法》，因此，《电子签名法》是实质意义上的电子商务法。

[4]《法国民法典》第1322-1332条。

[5]《德国民法典》第126-129条。

[6]G.P.V.Vandenberghe，Signature，PartⅢChapterⅠof TELEBANKING，TELESHOPPING AND THE LAW，(ed.Y.Poullet ＆G.P.V.Vandenberghe)1998，p.61.

[7]许高山:《如何有效签章——契约、支票、诉讼状、存证信函》，永然文化出版股份有限公司1993年版，第19页。

[8]曾更莹:《网际网路上运用电子签名所涉及法律问题研究》，载《万国法律》1997年第4期。

[9]林志峰:《EDI法律导读》，台湾群彦图书股份有限公司1994年版，第51页。

[10]林志峰:《EDI法律导读》，台湾群彦图书股份有限公司1994年版，第53页。

[11]ECE，No.14‘Authentication of Trade Document by Means other than Signature’，1979，p.8 reprinted in Hans B.Thomsen，Background in TRADING W ITH EDI-THE LEGAL ISSUES(ed.Hans B.Thomsen and Bernard S.Wheble)，1989，p.1.

[12]曾更莹:《网际网路上运用电子签名所涉及法律问题研究》，载《万国法律》1997年第4期，第26页。

[13]林志峰:《EDI法律导读》，台湾群彦图书股份有限公司1994年版，第54页。

[14]林志峰:《EDI法律导读》，台湾群彦图书股份有限公司1994年版，第56页。

[15]UCC 1-201(39)．

[16]Utah Digital Signature Act，http://www.jmls.edu/cyber/statutes/ut-esa.htm．

[17]廖纬民译:《德国多媒体法简介》，载《资讯法务透析》1997年第11期。

[18]有必要对数字签名利用的杂凑函数进行必要说明。杂凑函数算法又称单向函数算法，也称HASH算法。用哈希函数(Hash Function)变换后得到的哈希值，通常称为“信息摘要”。哈希函数的意义在于，可以将任意长度的信息转换为一个短且固定长度的信息，一般称此输出信息为哈希值。而哈希函数则具有不可逆的单向(One-Way)特性，也就是信息摘要无法还原成先前的信息。

[19]参见安德鲁·斯帕罗著:《电子商务法律》，中国城市出版社2001年版，第105-106页。

[20]必须说明的是，可靠电子签名并不限于数字签名，但是从目前的运用看，主要是数字签名，因此放入数字签名部分需予以说明。

[21]在没有特别说明的情况下，本文谈到的电子认证主要指电子签名的认证。

[22]参见欧阳武、齐爱民、张海龙，等著:《中华人民共和国电子签名法原理与条文解析》，最高人民法院出版社2005年版，第136-137页。

[23]欧阳武、齐爱民、张海龙，等著:《中华人民共和国电子签名法原理与条文解析》，最高人民法院出版社2005年版，第120页。

[24]欧阳武、齐爱民、张海龙，等著:《中华人民共和国电子签名法原理与条文解析》，最高人民法院出版社2005年版，第126页。

[25]电子证书持有人和电子证书信赖人之间缔结的合同关系，不属于电子认证合同关系。

[26]欧阳武、齐爱民、张海龙，等著:《中华人民共和国电子签名法原理与条文解析》，最高人民法院出版社2005年版，第117页。

[27]欧阳武、齐爱民、张海龙，等著:《中华人民共和国电子签名法原理与条文解析》，最高人民法院出版社2005年版，第126-127页。

[28]参见余延满:《合同法原论》，武汉大学出版社1999年版，第644页。

[29]参见余延满:《合同法原论》，武汉大学出版社1999年版，第53-54页。

[30]参见余延满:《合同法原论》，武汉大学出版社1999年版，第47-50页。

[31]参见我国《电子签名法》，第34条。

[32]参见我国《电子认证服务管理办法》，第5条。

[33]参见欧阳武、齐爱民、张海龙，等著:《中华人民共和国电子签名法原理与条文解析》，最高人民法院出版社2005年版，第142页。